Hoy en día, el tratamiento de datos en cualquier domicilio y empresa, independientemente del tamaño que esta tenga, se lleva a cabo (en mayor o menor medida) de forma digital. Una situación que implica un intercambio de información más global, fluido y organizado. No obstante, esto supone la exposición a todo tipo de amenazas virtuales, que no hacen distinción alguna a la hora de elegir un objetivo para lanzar un ataque.
Un simple equipo informático basta para que un hacker pueda acceder a información de clientes; trabajadores; proveedores… Sobre todo, ahora que el teletrabajo ha experimentado un gran auge por situación generada por la pandemia de la Covid-19. Una nueva forma de trabajo para que la mayoría de las organizaciones no estaba preparada (con los riesgos que ello implica). Aún así, en el presente artículo mostraremos cuáles son las cinco medidas que toda empresa puede implementar fácilmente para evitar pérdidas de datos y, así, cumplir con su obligación de responsabilidad proactiva.
Medidas técnicas de seguridad
1. Accesibilidad (uso de contraseñas seguras).
Las contraseñas son un método efectivo a la hora de proteger los datos de un dispositivo. Ahora bien, esta política debe cumplir con una serie de criterios básicos, como no almacenar las contraseñas en sistemas sin cifrar; actualizarlas de forma periódica, y no reutilizarlas para distintos servicios. Además, si es posible, lo adecuado es tener un segundo sistema de autentificación (biométrico, código, etc.).
2. Copias de seguridad.
Contar con un disco duro u sistema análogo en la nube que nos permita guardar periódicamente la información nos ayudará a minimizar amenazas como el ransomware o secuestro de la información. Cada organización debe establecer una política de cómo se realizarán las copias de seguridad.
3. Sistemas actualizados.
Tener actualizado un equipo a las últimas versiones estables de un sistema informático nos ayudará a contar con parches de seguridad y diversas herramientas de protección.
4. Política de servicios (exposición en internet).
Son comunes las acciones que permiten acceder a un programa desde internet a una base de datos, o acceder al escritorio remoto de un servidor. Para la gestión de este tipo de procesos, la organización debe contar con una política de servicios clara al respecto. Asimismo, se aconseja que los accesos remotos se realicen a través de sistemas VPN, proxy inverso…
5. Cifrado de dispositivos.
Teléfonos móviles; tabletas; memorias USB; discos duros externos… entre otros, deben contar, además de con una contraseña, con un sistema de cifrado que refuerce la posible vulneración de los sistemas de acceso. Además, es importante aplicar la minimización de datos en los dispositivos (tener la menor cantidad de datos personales y el menor tiempo posible en un equipo).
********************************************
Para una adecuada gestión de estos aspectos, además del soporte de una empresa informática (o del equipo interno asignado), es necesario el asesoramiento de profesionales especializados en privacidad y seguridad de datos, pues según el tipo de empresa y procesos habrá que evaluar el riesgo a la hora de garantizar una correcta confidencialidad, integridad y disponibilidad de la información.
No olvidemos que una deficiente organización de la seguridad de la información en una empresa puede ser objeto de sanción. Además, no sólo se trata de una conducta preventiva, sino diligente, pues el artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (“RGPD”), establece la obligación de notificar a la autoridad de control cualquier violación de seguridad de datos personales en las primeras 72 horas desde que se ha producido la misma.
*******************************************
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales). > Legislación nacional española.